sql >> Databáze >  >> RDS >> PostgreSQL

Kontrolní seznam shody SOx pro PostgreSQL

Zákon Spojených států SOx (Sarbanes-Oxley) z roku 2002 se zabývá širokým spektrem základních principů zabezpečení informací pro komerční podniky a zajišťuje, že jejich funkce jsou zakořeněné a konzistentně uplatňovány na základě konceptů CIA (důvěrnost , integrita a dostupnost).

Dosažení těchto cílů vyžaduje odhodlání mnoha jednotlivců, kterých si všichni musí být vědomi; jejich odpovědnosti za udržování bezpečného stavu podnikových aktiv, pochopení zásad, postupů, standardů, pokynů a možností ztrát spojených s jejich povinnostmi.

CIA si klade za cíl zajistit, aby sladění obchodní strategie, cílů, poslání a záměrů bylo podporováno bezpečnostními kontrolami schválenými s ohledem na náležitou péči vrcholového vedení a toleranci vůči rizikům a nákladům.

Databázové klastry PostgreSQL

PostgreSQL Server má širokou sbírku funkcí nabízených zdarma, což z něj činí jeden z nejpopulárnějších DBMS (systémů pro správu databází), což umožňuje jeho přijetí na širokou škálu projektů v různých sociálních a ekonomických sférách. .

Hlavní výhodou pro jeho přijetí je licence Open Source, která odstraňuje obavy z porušení autorských práv v rámci organizace, které může být způsobeno správcem IT, neúmyslným překročením počtu povolených licencí.

Implementace zabezpečení informací pro PostgreSQL (z organizačního kontextu) nebude úspěšná bez pečlivě vytvořených a jednotně aplikovaných bezpečnostních politik a postupů, které pokrývají všechny aspekty plánování kontinuity podnikání.

BCP (plánování kontinuity podnikání)

Vedení musí před zahájením programu BCP souhlasit, aby se ujistilo, že rozumí očekávaným výsledkům, jakož i své osobní odpovědnosti (finanční a dokonce i trestněprávní), pokud se zjistí, že nevynaložilo náležitou péči k odpovídající ochraně organizace a její zdroje.

Očekávání vrcholového vedení jsou sdělována prostřednictvím zásad, které vyvíjejí a udržují bezpečnostní důstojníci, odpovědní za stanovení postupů a dodržování standardů, základních linií a směrnic a za odhalování SPoF (jednotných bodů selhání), které mohou ohrozit bezpečný a spolehlivý provoz celého systému.

Klasifikace těchto potenciálních rušivých událostí se provádí pomocí BIA (Business Impact Analysis), což je sekvenční přístup; identifikovat aktiva a obchodní procesy, určit kritičnost každého z nich, odhadnout MTD (Maximum Tolerable Downtime) na základě jejich časové citlivosti pro obnovu a nakonec vypočítat cíle obnovy; RTO (Recovery Time Objective) a RPO (Recovery Point Objective), s ohledem na náklady na dosažení cíle oproti přínosu.

Role a odpovědnosti za přístup k datům

Komerční podniky si běžně najímají externí firmy, které se specializují na prověření spolehlivosti, aby získaly více informací o potenciálních nových zaměstnancích, pomáhají náborovému manažerovi se solidními pracovními záznamy, ověřují dosažené vzdělání a certifikace, kriminální minulost a reference kontroly.

Operační systémy jsou zastaralé a špatná nebo zapsaná hesla, to je jen několik z mnoha způsobů, jak mohou neoprávnění jednotlivci najít zranitelná místa a zaútočit na informační systémy organizace prostřednictvím sítě nebo sociálního inženýrství.

Služby třetích stran, najaté organizací, mohou také představovat hrozbu, zejména pokud zaměstnanci nejsou vyškoleni k používání správných bezpečnostních postupů. Jejich interakce musí být zakořeněna na silných bezpečnostních základech, aby se zabránilo prozrazení informací.

Nejmenší oprávnění se vztahuje k tomu, že uživatelům udělujete pouze přístup, který potřebují k plnění svých úkolů, nic víc. Zatímco někteří zaměstnanci (na základě svých pracovních funkcí) mají vyšší přístup „potřeba vědět“. V důsledku toho musí být jejich pracovní stanice nepřetržitě monitorovány a aktualizovány podle bezpečnostních standardů.

Některé zdroje, které mohou pomoci

COSO (Výbor sponzorských organizací komise Treadway)

Společnost byla založena v roce 1985, aby sponzorovala Národní komisi USA (Spojené státy) pro podvodné finanční výkaznictví, která studovala kauzální faktory, které vedou k podvodnému finančnímu výkaznictví, a vytvořila doporučení pro; veřejné společnosti, jejich auditoři, SEC (Securities Exchange Commission), další regulační orgány a donucovací orgány.

ITIL (Knihovna infrastruktury informačních technologií)

ITIL, vytvořený britskou vládní kanceláří Stationary Office, je rámec složený ze sady knih, které demonstrují osvědčené postupy pro konkrétní potřeby IT organizace, jako je správa základních provozních procesů, incidenty a dostupnost a finanční aspekty.

COBIT (kontrolní cíle pro informační a související technologie)

COBIT, publikovaný ITGI (IT Governance Institute), je rámec, který poskytuje celkovou strukturu pro IT kontroly, včetně zkoumání efektivity, efektivity, CIA, spolehlivosti a souladu, v souladu s obchodními potřebami. ISACA (Information Systems Audit and Control Association) poskytuje podrobné pokyny o COBIT, stejně jako celosvětově uznávané certifikace, jako je CISA (Certified Information Systems Auditor).

ISO/IEC 27002:2013 (Mezinárodní organizace pro normalizaci/Mezinárodní elektrotechnická komise)

ISO/IEC 27002:2013, dříve známá jako ISO/IEC 17799:2005, obsahuje podrobné pokyny pro organizace, které pokrývají kontroly bezpečnosti informací, jako jsou; zásady, dodržování předpisů, řízení přístupu, operace a zabezpečení lidských zdrojů, kryptografie, správa incidentů, rizik, BC (Business Continuity), aktiva a mnoho dalších. K dispozici je také náhled dokumentu.

VERIS (slovník pro nahrávání událostí a sdílení incidentů)

VERIS, dostupný na GitHubu, je projekt v neustálém vývoji, jehož cílem je pomáhat organizacím shromažďovat užitečné informace související s incidenty a sdílet je anonymně a zodpovědně, čímž se rozšiřuje VCDB (komunitní databáze VERIS). Spolupráce uživatelů, jejímž výsledkem je vynikající reference pro řízení rizik, je následně převedena do výroční zprávy VDBIR (Verizon Data Breach Investigation Report).

Směrnice OECD (Organizace pro hospodářskou spolupráci a rozvoj)

OECD ve spolupráci s partnery po celém světě prosazuje RBC (Responsible Business Conduct) pro nadnárodní společnosti, zajišťuje soukromí jednotlivců při jejich PII (Personally Identifiable Information) a stanovuje zásady, jak musí podniky uchovávat a udržovat jejich data.

NIST SP 800 Series (National Institute of Standards and Technology Special Publication)

US NIST poskytuje na svém CSRC (Computer Security Resource Center), sbírku publikací pro kybernetickou bezpečnost, pokrývající všechny druhy témat, včetně databází. Nejdůležitější z pohledu databáze je SP 800-53 Revize 4.

Závěr

Dosahování cílů SOx je každodenní starostí mnoha organizací, a to i těch neomezených na účetní činnost. Pro podnikové bezpečnostní pracovníky musí být zavedeny rámce obsahující pokyny pro hodnocení rizik a vnitřní kontroly, stejně jako software pro zabránění zničení, pozměnění a zveřejnění citlivých dat.


  1. Je časové pásmo java.sql.Timestamp specifické?

  2. Časový limit dotazu z webové aplikace vyprší, ale z manažerského studia běží v pořádku

  3. Odborný průvodce replikací Slony pro PostgreSQL

  4. Postgres nepoužívá index, když je mnohem lepší volba index scan